Il gruppo di lavoro EY ha dunque formulato per il management di Alfa un piano d’azione mirato a potenziare le aree critiche individuate. Tale piano si articola in due fasi di sviluppo successive, in linea con il suggerimento dell’adozione di un approccio incrementale5, per concedere all’organizzazione il tempo necessario alla comprensione e alla diffusione del messaggio culturale assegnato al risk management e per rendere il modello finale dell’ERM il più possibile aderente alle specificità dell’impresa.
Il primo livello di sviluppo è finalizzato a promuovere la cultura di gestione dei rischi nell’intera organizzazione, ed in primo luogo a livello di vertice. Dopo aver definito le responsabilità connesse allo svolgimento del progetto, occorrerà definire una risk strategy per Alfa, che espliciti la mission della funzione di risk management ed il suo livello di autorità e, in maniera coerente, la struttura organizzativa del processo.
Con riguardo alla governance dell’ERM, in linea con l’aspirazione a orientare strategicamente le attività di gestione dei rischi, sono stati designati quali sponsor del progetto il Presidente del
5 COSO 2011.
Rating: Avanzato
77 Consiglio di Amministrazione e l’Amministratore Delegato. Il gruppo che segue le attività, composto sia da consulenti EY che da responsabili interni ad Alfa, si interfaccia con il Comitato di Risk Management, composto dai principali ruoli executive, quali Affari Legali, Risorse Umane, Amministrazione Finanza e Controllo, Sicurezza, Risk Management, Supply Chain, il quale in quanto responsabile dell’ERM riporta direttamente agli sponsor del progetto e al Comitato Controllo e Rischi.
Dovranno poi essere definite le misure impiegate per il monitoraggio degli obiettivi della funzione risk management, ovvero una Value Scorecard per la valutazione dell’intero processo. Qualora si intenda promuovere l’integrazione e la diffusione della gestione dei rischi nell’ambito delle attività di gestione del business è importante che anche la performance del risk management sia misurata in base a tali obiettivi. In linea con tale esigenza e a titolo esemplificativo, potranno essere fissati come key performance indicator (KPI) l’entità dei costi risparmiati per effetto di un maggiore controllo dell’efficienza operativa realizzata attraverso l’ERM, oppure la capacità di fornire suggerimenti gestionali sulla base di un’analisi del contesto di mercato, piuttosto che le tradizionali misure del grado di utilizzo delle risorse e del livello di copertura di tutte le aree a rischio.
Successivamente, a livello di processo, si renderà necessaria la revisione delle procedure dell’ERM per adeguarle al nuovo mandato che il risk management assume nella gestione, e in seguito alla definizione di un nuovo risk universe, di nuove modalità di misurazione e responsabilità gestionali.
L’analisi di benchmark mostra come tecniche di valutazione in grado di stimare gli impatti economici dei rischi assumono un ruolo fondamentale nell’attribuzione all’ERM di un orientamento strategico. È in questo modo infatti che si possono individuare i top relevant risk. Il team dei consulenti suggerisce l’adozione di modelli di Value at Risk per la quantificazione dei rischi finanziari e di mercato, mentre propone il ricorso a modelli di valutazione che permettono di trasformare giudizi qualitativi in valori numerici per quanto riguarda i rischi operativi. Si rende inoltre necessario definire degli indicatori di rischio con carattere predittivo rispetto ai KPI, in modo tale da poter simulare i valori assunti da questi in corrispondenza di specifici livelli di rischiosità e misurare la performance attesa in diversi scenari, a conferma dell’importanza dell’inserimento di misure del rischio tra gli strumenti impiegati nelle attività del controllo di gestione.
78 Anche la struttura del reporting relativo all’ERM dovrà essere ridisegnata. In particolare occorrerà definire un certo grado di selettività dell’informazione destinata al Vertice, le responsabilità di rendicontazione, la frequenza e le modalità di comunicazione, sempre in funzione dei livelli decisionali coinvolti. Il principio generale prevede, in linea con le aspettative emerse da indagini empiriche6, un minore livello di dettaglio e una maggiore focalizzazione sui rischi più critici a livello di impatto complessivo sulla performance economico-finanziaria per il Consiglio e il top management. L’articolazione del reporting, nella proposta dei consulenti, sarà facilitata dall’implementazione di un risk software, tappa cruciale della realizzazione del secondo livello di sviluppo.
Infine, alla luce della nuova risk strategy e delle nuove procedure relative al processo di gestione dei rischi, occorrerà valutare la necessità di potenziare il nucleo di risorse dedicate specificamente a tali attività, al fine di evitare una loro compromissione.
La seconda fase evolutiva riguarderà principalmente l’implementazione del modello ridisegnato. A tal fine, uno strumento fondamentale risulta essere il risk software adottato. La soluzione informatica proposta dai consulenti, sviluppata internamente da EY, consente l’elaborazione di dati e misurazioni a livello corporate, ma anche a livello di divisione, di funzione, di processo e infine di singolo progetto.
Per ciascuna delle iniziative vengono impostati degli indicatori di performance di tipo tecnico, economico e legati agli obiettivi di qualità, e degli indicatori di rischio relativi al risk universe definito. Il software offre così la possibilità di formulare delle analisi di rischiosità e di monitorare, mediante il controllo del livello di rischio, l’avanzamento delle attività di risk response.
Architettato in modo da garantire l’accesso alle diverse funzionalità, in base al ruolo assunto nell’ambito delle attività dell’ERM, tale software consente anche l’estrapolazione automatizzata di informazioni rilevanti per ciascuna tipologia di utenti.
L’efficace implementazione del modello richiederà infine l’erogazione di specifica formazione ai diversi ruoli e divisioni aziendali coinvolti, e una particolare dedizione nel predisporre accuratamente il processo di change management, riconoscendo l’importanza assunta dalle dinamiche organizzative innescate dall’introduzione del cambiamento in azienda7.
6
ECONOMIST INTELLIGENCE UNIT 2010. 7 ARENA, et al. 2010.
79 Il management di Alfa ha accettato la proposta progettuale predisposta dai consulenti, i quali attualmente lavorano per la redazione di un Risk Universe preliminare, da condividere e validare in un prossimo futuro con il management della società cliente.
La definizione dell’universo dei rischi di Alfa è un’attività articolata in tre fasi distinte. In un primo momento, sulla base di un risk catalogue vengono identificati alcuni possibili rischi in grado di pregiudicare il raggiungimento degli obiettivi; successivamente l’analisi della catena del valore e del modello di business di Alfa, condurrà i consulenti a raffinare l’analisi e giungere ad un Risk Universe preliminare da sottoporre, infine, al management della società cliente e ai Risk Owner interessati. Vengono dunque impiegate entrambe le direttrici di analisi: quella top- down che parte da modelli precostituiti, e quella bottom-up che prevede il coinvolgimento dei process owner8.